首页 安全防御正文

Pwn2Own Tokyo 2018:小米手机五连跪,iPhone X、三星S9相

访客 安全防御 2021-10-15 557 3

移动安全已经变得越发重要,因此也成为了黑客们关注的重点。在刚刚结束的Pwn2Own Tokyo 2018 上,一群黑客相继对不同的手机发起了猛攻,最终,小米手机遭遇五连跪成为全场最受黑客关注的焦点,此外iPhone X 和三星 S9也未能幸免于黑客攻击。

在智能手机机型选择上,本次举办方总共提供了以下五款机型:

Google Pixel 2

三星Galaxy S9

Apple iPhone X

华为P20

小米Mi6

谁也没想到海外市场份额相对较少的小米 6却受到了更大的针对,五次被挑战无一失败。而Google Pixel 2以及华为 P20 却无人问津。



本次Pwn2Own Tokyo 2018 为期两天,有三组队伍参与挑战,根据规则,参赛选手需要利用浏览器、蓝牙、NFC、WI-FI、MMS/ *** S或者基带的漏洞来对手机发起挑战。而挑战顺序由随机抽签决定,最终之一天安排了6项挑战,第二天有五项,总共11项挑战。

在之一天的行程中,一血就落在了小米6身上。Fluoroacetate的两名白帽,利用NFC 漏洞接管了小米6,通过一触式连接的特性,强制打开浏览器跳转到特定的网页。该页面利用WebAssembly 中越界写入在手机上执行代码。完成这项挑战,让他们获得30000美米的奖金以及6个积分。

Fluoroacetate在进行漏洞确认

而第二项挑战依然是针对小米6,MWR实验室利用五个不同的漏洞在小米6上成功执行代码。

之一天的行程中最终六项挑战无一失败,其中仅仅是小米6就已经被针对的三次,而三星S9的基带漏洞和WI-FI漏洞也让其沦陷两次,黑客利用WI-FI漏洞成功攻破了iPhone X。在积分榜上,Fluoroacetate 以31分的优势遥遥领先。



第二天剩下的五项挑战主要集中在小米6和iPhone X身上,小米 6依然在两次挑战中没能挡住黑客的攻击。而黑客对iPhone X的破解却没有之一天那么顺利了,三项跳转仅仅成功一了一项,其它均以失败告终。

唯一成功的一次依然来自于Fluoroacetate 团队,在iPhone X浏览器漏洞挑战中,他们利用越界权限成功从iPhone X中获取数据,再次斩获第二天的“一血”,获得50000美金奖励以及8个积分,继续扩大领先优势。



最终两天的比赛结束,Fluoroacetate 团队以 45个积分的绝对优势称为本届比赛的“Master of pwn”。

Pwn2Own Tokyo 2018 落下帷幕,小米 6意外的接受了最多的挑战,而且五次挑战没有一次失败出现,不知道会不会让用户对于小米手机的安全性产生质疑。不仅是Android 手机,包括iPhone 在内,可以看到的情况是,浏览器的安全问题依然是智能手机的更大隐患。



虽然Google Pixel 2和华为 P20 虽然没有被挑战,不意味着其安全问题就不存在。这一次,来自苹果、三星、谷歌、华为以及小米的代表都在Pwn2Own现场,关注自己产品被破解的情况,如果有需要他们也可以随时对白帽子发起提问。

此外,比赛结束后,相关的厂商均会收到本次比赛涉及的漏洞通知,给予90天的时间来修复漏洞,所以,相信不久之后,小米、苹果、三星都会及时发布漏洞补丁以完善自身产品的安全性。

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。